Java中利用EXCEL进行XXE攻击

最新推荐文章于 2025-06-25 11:48:19 发布
最新推荐文章于 2025-06-25 11:48:19 发布
阅读量3.6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络攻击 文章标签: 网络攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42296449/article/details/88934150
本文探讨了如何在Java中利用Excel文件实施XXE攻击,详细介绍了攻击过程,包括修改Excel文件的zip内容以插入XXE验证POC,然后通过SAXReader解析导致的漏洞。此外,还提到了Apache POI的受影响版本和漏洞产生的原因,即XML文档加载外部实体。修复方案是通过SAXHelper类阻止外部实体引用,以及在dom解析时禁用外部实体。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • Java中常见解析Excel引入的XXE组件复现与分析
    新建excel文件 修改后缀为.zip
    在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC
    重新修改后缀为 .xlsx

  • 结果发现
    直接通过 SAXReader 来解析xml文档,导致xxe漏洞的产生

  • 修复方案
    是在此处增加了一个SAXHelper类来进行防御处理
    Apache POI,受影响版本:poi-ooxml-3.10-FINAL 及其以下版本
    由于Excel文件实际上是一个压缩包格式文件,其中的xml文档如果被恶意构造加载外部实体参数,就会导致XXE漏洞。
    我们从excel文件中读取到的 xml 文件传入 document() 方法,导致触发漏洞跟进 document() 方法,发现是直接通过 dom 方式解析 xml 文件导致了xxe漏洞
    而修复方式采用的直接禁用外部实体引用。

/**
* 增加防止部实体注入逻辑
* @param reader
* @throws SAXException
* @see [类、类#方法、类#成员]
*/

 public static void setReaderFeature(SAXReader reader)
        throws SAXException
    {
        
        reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
        
        reader.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true);
        
        // 是否包含外部生成的实体。当正在解析文档时为只读属性,未解析文档的状态下为读写。
        reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
        
        // 是否包含外部的参数,包括外部DTD子集。当正在解析文档时为只读属性,未解析文档的状态下为读写。
        reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        
        reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
        
    }
Java代码审计】XXE漏洞
大河之犬的博客
04-02 1681
XXE 漏洞的原理主要是利用了 XML 解析器的实体引用特性。在 XML 中,可以使用实体引用来引用外部的实体,例如文件,以便在 XML 文档中重用内容。然而,如果 XML 解析器未经适当配置,可能会导致外部实体的任意读取和执行,从而引发安全漏洞。攻击者可以构造恶意的 XML 文件,其中包含对外部实体的引用,并通过将这个 XML 文件提交给目标应用程序来触发漏洞。当目标应用程序解析这个 XML 文件时,解析器会尝试读取和解析外部实体,从而使得攻击者能够访问本地或远程系统上的文件,并执行相关操作。
网站数据导出为excel 源码大全java php c# js python 与网络安全兼顾-阿雪技术观
cybersnow精通 28 门计算机语言,凭借其超凡的技术能力,成功开发过上万个应用,广泛涉及政府、商业、个人等众多领域,甚至在检察院、环保局、公安局等专业场景中也大放异彩。不仅熟练掌握单片机和物联网开发,在软件架构设计方面更是独树一帜,自创了跨平台软件
08-12 884
1.保护用户隐私和数据用户在访问网站时会提供各种个人信息,如姓名、地址、联系方式、信息等。如果网站存在安全漏洞,这些敏感信息可能会被黑客窃取,导致用户遭受身份盗窃、金融欺诈等严重后果。2.维护企业声誉和信任一个安全可靠的网站能够赢得用户的信任和忠诚度。相反,如果网站经常遭受攻击或出现数据泄露事件,用户会对企业失去信心,选择不再使用其服务,甚至会对企业的品牌形象造成负面影响。3.确保业务连续性网站遭受攻击可能会导致服务中断,影响企业的正常运营。
一篇文章读懂Java代码审计之XXE
热门推荐
Summer's blog
05-13 1万+
前言   学习总结Java审计过程中笔记,审计方法。 阅读要求:有简单Java代码基础,了解漏洞原理。 漏洞简介    简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 有回显    不说废话,先看效果,成功读取文本内容。    代码分析漏洞成因: public String xxeDo...
利用EXCEL进行XXE攻击
xu84557120的博客
01-18 5510
一、攻击原理 引用(https://xz.aliyun.com/t/3741) 0x00 前言 XML外部实体攻击非常常见,特别是通过基于HTTP的API,我们经常遇到并利用以此通常获得对客户端环境的特权访问。 不常见的是用Excel进行XXE攻击。 0x01 这是什么方式 实际上,与所有post-Office 2007文件格式一样,现代Excel文件实际上只是XML文档的zip文件。这...
一文掌握 Java XXE 漏洞原理、利用与防御姿势(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
leah126的博客
06-25 846
XXE(XML External Entity)漏洞是利用 XML 的“外部实体”功能,让服务器读取本地文件或访问远程地址(如 SSRF)。常见后果:读取文件(等)内网打点(SSRF)内存攻击(DoS)数据外带(OOB 数据 exfiltration)有没有 XML 解析?(关键词+代码)用户能不能控制 XML 内容?有没有禁用外部实体和 DTD?上面主要类型,在代码中未发现的相关配置大概率就有问题黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料。
JAVA XXE 从原理到利用
2401_83799022的博客
05-31 1191
在搜到的文章中有一个令人在意的点,作者提到“由于是java的站,所以利用ftp协议读取文件”,java站和ftp协议有什么关系?简单来说就是将我们原本使用的远程服务器上的dtd变更为了服务器上的本地dtd,去redefine其中的参数实体,再结合报错实现回显。和正常的XXE攻击其实没有太大区别,只是把payload放到了解压后里面的xml中,然后再压缩回到pptx/word/xlsx,上传后在解析过程中就会触发XXE payload。需要关注的是最后一种,参数实体,在实际的XXE攻击中会用到。
java --XXE 攻击原理及防御
tryheart的博客
09-05 2113
什么是 XEE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。 XEE 背景 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采
Java解析Excel和XML文件的jar工具详解
- **Java中的Excel处理库**: 在Java世界中,有多个库可以用来处理Excel文件,例如Apache POI、jExcelAPI、JExcel以及较新的EasyPOI等。这些库通常支持对不同版本Excel文件的读写操作,并提供了丰富的API接口。 ####...
java实验63怎么写_三十五、Java中常见解析Excel引入的XXE组件复现与分析
weixin_35286137的博客
02-28 235
实验准备1)在实验开始之前,我们已经在C盘根目录准备好了实验需要用到的POC验证excel文件,如下:注:实验环境中没有安装Excel不能直接创建,方法供参考。新建excel文件 test1.xlsx -> 修改后缀为.zip -> 在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx 同样新建excel文件 t...
java导入excel组件_三十五、Java中常见解析Excel引入的XXE组件复现与分析
weixin_35696112的博客
02-25 837
实验准备1)在实验开始之前,我们已经在C盘根目录准备好了实验需要用到的POC验证excel文件,如下:注:实验环境中没有安装Excel不能直接创建,方法供参考。新建excel文件 test1.xlsx -> 修改后缀为.zip -> 在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx同样新建excel文件 te...
java使用XSSFWorkbook操作Excel文件
weixin_65195664的博客
10-24 1269
【代码】java使用XSSFWorkbook操作Excel文件。
XXE漏洞 解决方案(JAVA版本)
goldDaNiu的博客
07-05 9550
/**      * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。      * @param strxml      * @return      * @throws JDOMException      * @throws IOException      */      public static Map doXMLParse(String...
java 病毒查杀_Java清除exe文件中的病毒
weixin_29952383的博客
02-25 1143
import java.io.*;publicclassClear{publicstaticvoidmain(String[] args){try{ClearLogo1 clearLogo=newClearLogo1();if(clearLogo.OSHasViru()){clearLogo.killViru();}if(args.length!=0){if(args[0].equals("/c"...
java excel 导入demo_Java基于注解和反射导入导出Excel
weixin_29174385的博客
02-13 312
1. 构建项目使用Spring Boot快速构建一个Web工程,并导入与操作Excel相关的POI包以及一些常用的工具类包,pom文件中添加如下一些依赖:org.apache.poipoi3.9org.apache.poipoi-ooxml3.9org.apache.commonscommons-lang33.3.2com.google.collectionsgoogle-collections1...
java excel api_全面挖掘Java Excel API 使用方法
weixin_35084652的博客
02-12 264
使用Windows操作系统的朋友对Excel(电子表格)一定不会陌生,但是要使用Java语言来操纵Excel文件并不是一件容易的事。在Web应用日益盛行的今天,通过Web来操作Excel文件的需求越来越强烈,目前较为流行的操作是在JSP或Servlet 中创建一个CSV (comma separated values)文件,并将这个文件以MIME,text/csv类型返回给浏览器,接着浏览器调用E...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值